AD DS 或 AD LDS

Question

我需要有关为我的基础架构使用 AD DS 或 AD LDS 的建议。

我有一个网站，目前没有任何供访问者登录的网站，现在我们正在开发一个新的应用程序，以便访问者可以在网站上创建帐户。你能想到的最好的例子是任何电信服务提供商，他们有他们的网站，现在正在为它的客户创建一个登录工具，这样用户就可以创建一个帐户并可以订阅 ebill 类的工具。

希望现在情况清楚了。对于这个特定的应用程序，我打算拥有一个 Web 服务器、一个应用程序服务器、一个数据库服务器、一个 SMTP 服务器和一个 AD 服务器（用于用户身份验证和保存配置文件）。

我的问题从 AD 开始，这里我需要 AD DS 还是 AD LDS，我需要从 AD 那里得到什么

1. 提供用户认证
2. 提供基于角色的访问。

这是我的查询。

Answer 1

正如 Rajeev 在评论中指出的那样，Active Directory是一个 LDAP 服务器等等，而AD LDS服务是一个“免费”的Windows Server 角色，专门用于执行他正在寻找的内容。AD 提供了许多额外功能（复制、Kerberos、联邦等），您必须使用诸如 OpenLDAP+postgres+kerberos 之类的 Free/OSS 解决方案自行构建。还有其他（主要是商业）目录服务具有类似的能力。

许可应该不是问题。如果您的部署将主要基于 Windows（对于计算机帐户、管理员帐户等），那么您可能会安装 AD，并且这将相对较小（最多看起来像一个 5 用户 CAL）。您在 LDS 中为公共用户创建的任何“用户”对象都不会计入 AD DS 帐户的许可证。您可以联系Microsoft 许可部门来验证这一点。

使用 AD LDS 肯定有一些很大的好处，但您建议的安装可能太小而无法实现其中的一些。

1. 复制可能是您使用 LDS 获得的#1“免费赠品”。您的 AD DS 站点和子网拓扑可用于自动管理复制，就像 AD DS 一样。但是只有一台 LDS 服务器，您将不需要复制。
2. 大多数用于备份、维护、报告等的较新工具都可以像在 DS 中一样与 LDS 一起使用。因此，如果您已经在内部拥有一些现成的工具，您可以将它们用于您的 LDS。同样，你的设置听起来太小了，这不是一个很大的好处。
3. 如果你是ALREADY熟悉AD DS的维护和保养，使用LDS将一般地熟悉和将建立在你已经有了一个知识集。这可能意味着可支持性和可管理性的显着改进，您拥有的任何脚本知识通常都可以转移，等等。这是一个奖励。
4. 再说一次，LDS 在 Windows 中是“免费的”，如果您安装了 2003/2008 服务器，则包含 LDS。这也是加分项。
5. 使用 Windows Server 2008 R2，您可以从 AD DS 代码库（快照等）获得所有很酷的功能

综上所述...如果您对 AD 没有任何特别的经验，并且没有任何特定的基础设施来处理它，那么走这条路可能看不到太多好处。根据您所描述的部署规模，您几乎可以肯定会使用 LAMP + OpenLDAP 等 OSS 设置，具体取决于您的舒适区和您的应用程序要求。

请记住，如果您正在进行任何类型的用户管理，那么如果您的方法只是“在 SQL 表中粘贴一堆用户名和密码”，那么您将非常非常抱歉。用户管理是一个复杂的过程，之前已经解决了无数次。处理密码是你不应该做的事情，除非你已经在安全相关的编程方面有很多经验。请不要自己动手！

找到一个合适的商业或 OSS 框架，它已经被设计为正确处理 AAA*，像 OpenID 这样的东西可能不是一个糟糕的主意。Jeff Atwood 的博客 （他经营一个网站，您可能听说过它...）有许多帖子围绕他在StackOverflow和ServerFault上的工作讨论了这些问题。

无论如何，我希望这个讨论有帮助。